Комисията за защита на личните данни наложи глоба на НАП в размер на 55 хиляди лева за нарушение на за разпоредбите Регламент ЕС 2016/679 и Закона за зашита на личните данни. Нарушението е установено при проверка извършена по жалба в която засегнатото лице уведомява за съставено от служител на Териториалната дирекция на НАП София постановление за налагане на обезпечителни мерки по изпълнително дело. Засегнатото лице информира, че след телефонен разговор с публичния изпълнител, е получила информация, че наложената обезпечителна мярка и запор на сметките ѝ са вследствие на получено уведомление по Спогодба за взаимопомощ и информация за възникнали данъчни задължения
При извършена по повод на жалбата проверка Комисията установила, че личните данни на жалбоподателката в обем три имена, единен граждански номер, постоянен и настоящ адрес, семейно положение, номер на лична карта. са неправомерно събрани предвид обстоятелството, че същата не е задължено лице. Данните са събрани в нарушение на чл. 4, ал. 1 от ЗЗЛД доколкото липсва условие за допустимост за тяхното събиране, а в последствие и тяхната употреба за образуване на изпълнително дело срещу жалбоподателката и за налагане на обезпечителни мерки – а именно запор на налични и постъпващи суми по банкови сметки и запор върху МПС.
Събраните по преписката доказателства свидетелстват за допуснато от НАП нарушение още на етап събиране на лични данни, което в последствие е довело до тяхната неправомерна употреба и предоставяне във връзка с образуваното изпълнително дело за събиране на вземане в размер на 169 315,37 лв. установено в Германия срещу жалбоподателката, в качеството и на задължено лице, каквото качеството е установено, че същата не притежава по отношение на конкретното задължение, поради което личните й данни са обработени от НАП незаконосъобразно.
От извършената проверка Комисията е установила, че личните данни на жалбоподателката са обработени от НАП, в нарушение на чл. 4, ал. 1 от ЗЗЛД (отменен) и чл. 6, ал. § 1 от Регламента. Същото не е съобразено с изискванията за законосъобразност и допустимост на обработването на лични данни, извършено е без съгласието на жалбоподателката и без да е налице нито едно от останалите условия за допустимост на обработването посочени в цитираните разпоредби, а именно същото не е извършено в изпълнение на нормативно установено задължение на администратора на лични данни, не е необходимо за защита на живота и здравето на физическото лице, нито за изпълнение на задача в обществен интерес или за упражняване на правомощия, предоставени на администратора със закон, или за реализиране на законните интереси на администратора, пред които интересите на физическото лице нямат приоритет.
При определяне на размерът на санкцията Комисията е съобразила продължителността на нарушението, което обхваща период от една година и половина и не на последно място – претърпените от жалбоподателката вреди които са безспорни като факт, с оглед обстоятелството, че се касае за запорирани банкови сметки на лицето и причинени на същото безпокойство и притеснения.
Съобразявайки целта на наказанието, което следва да има възпираща и предупредителна функция, естеството и тежестта на нарушението, обществените отношения които засяга, категориите засегнати лични данни, Комисията е счела, че наложената имуществена санкция следва да е в размер на 55 000 лв. – който размер е много под средния минимум предвиден в Регламента за това нарушение, за което санкцията е в размер до 20 000 000 евро.